NordVPN pred poldrugim letom tarča napada, razkrivajo ga šele sedaj

Matej Huš

22. okt 2019 ob 20:30:56

NordVPN se je dlje časa oglaševal kot storitev, ki zagotavlja zasebnost na internetu in zaščito pred nepovabljenimi očmi. Toda v resnici je bil NordVPN tarča hekerskega vdora že marca 2018, za kar so izvedeli pred nekaj meseci, stranke pa o tem obvestili šele sedaj. Da je nekaj narobe, se je na temnem delu interneta govorilo že od maja 2018. Trenutno dostopni podatki kažejo, da so imeli napadalci polni (root) dostop do NordVPN-ja. Odnesli so tudi zasebne šifrirne ključe, med drugim ključ za certifikat za domeno nordvpn.com, ključ za podpisovanje digitalnih certifikatov drugih storitev NordVPN-ja in ključ za dostop do strežnikov. Omenjeni ključi so potekli kasneje leta 2018 in danes niso več relevantni.

NordVPN v izjavi za javnost pojasnjuje, da je bil marca 2018 prizadet en strežnik na Finskem, drugi pa naj ne bi bili kompromitirani. Poudarjajo, da je bil napad usmerjen na omenjeni strežnik in ne na celotno storitev. Napad naj bi bil posledica nepravilne konfiguracije na strani pogodbenega partnerja, s katerim ne sodelujejo več. Podatkov o uporabnikih niso dobili niti niso prestrezali njihovega prometa. Priznavajo pa, da so napadalci dobili ključe TLS, s katerimi bi lahko napadalci teoretično izvedli napad MITM na posamezne uporabnike, ne morejo pa z njimi prestrezati prometa prek VPN. Čeprav NordVPN pravi, da bi bilo napad MITM izvesti zelo težko, to ni velik izziv. Podrobnosti glede ostalih ukradenih ključev niso razkrili. Dodajajo še, da so izvedli pregled sistema (audit) in da bodo v prihodnosti uvedli nagrajevanje odkritih ranljivosti (bug bounty).